ISO/IEC 27001:2022

9.1 Monitorowanie, pomiary, analiza i ocena

Punkt 9.1 normy ISO/IEC 27001 wymaga od organizacji oceny działania SZBI i rozważenia skuteczności systemu zarządzania bezpieczeństwem informacji.

Co obejmuje punkt 9.1?

Jeśli organizacja ubiega się o certyfikację na zgodność z normą ISO/IEC 27001, niezależny audytor, pracujący dla jednostki certyfikujące przyjrzy się dokładnie następującym obszarom:

  • co firma zdecydowała się monitorować i mierzyć, nie tylko cele, ale także procesy i kontrole
  • w jaki sposób zapewni prawidłowe wyniki pomiarów, monitorowania, analizy i oceny
  • kiedy te pomiary, monitorowanie, ocena i analiza mają miejsce i kto je przeprowadza
  • w jaki sposób będą wykorzystywane wyniki.

Podobnie jak w przypadku wszystkich innych międzynarodowych norm ISO/IEC, w tym ISO/IEC 27001, udokumentowane informacje są wszystkim – więc opisanie ich, a następnie udowodnienie, że tak się dzieje, jest kluczem do sukcesu!

Jak spełnić wymagania punkt 9.1

Podobnie jak w przypadku dużej części punktu 8 dotyczącej działania systemu zarządzania bezpieczeństwem informacji, punkt 9.1 jest adresowany poprzez spojrzenie na cały SZBI i inne części, które przyczyniają się do spełnienia tego wymogu.

Punkt 9.1 wymaga oceny wydajności i skuteczności systemu zarządzania. Norma wspomina również o dwóch metodach gromadzenia odpowiednich danych:

– Monitorowanie: określanie statusu systemu, procesu lub działania w celu spełnienia określonej potrzeby.

– Pomiar: działanie podejmowane w celu określenia wartości, statusu lub trendu w zakresie wydajności lub skuteczności, aby pomóc w identyfikacji potencjalnych potrzeb w zakresie doskonalenia.

Powyższe definicje monitorowania i pomiaru pochodzą z dokumentu ISO/IEC 27004 [5]. Dokument ten zawiera dodatkowe informacje na temat monitorowania, pomiaru, analizy i oceny systemu zarządzania bezpieczeństwem informacji.

 

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM